FUNCIÓN DE SEGURIDAD

Una función de seguridad, es una función a ser implementada en un sistema electrónico, eléctrico o electrónico programable (E/E/PE), mediante otro dispositivo relacionado con la seguridad o facilidad externa para reducción de riesgo; es una medida que se toma para reducir las probabilidades de que tenga lugar un evento indeseado y haya una exposición al riesgo[1].

Una función instrumentada de seguridad funcional (SIF) es simplemente un lazo de control y contendrá un cierto número de dispositivos y todos esos dispositivos constituyen parte del sistema instrumentado de seguridad (SIS). Un SIS comprende normalmente más de un SIF y esta puede incluir muchos sensores y un único actuador o un sensor y más de un actuador de seguridad. Cualquier combinación es posible.

Las propiedades básicas [2] de las SIF son:

• Medición
• Lógica
• Actuación
• Tiempo de respuesta
• Integridad de la Seguridad
• Otras
  • Mantenimiento
  • Prueba de Funcionamiento
  • Condiciones ambientales

Para cada función se analizara los siguientes aspectos:

• Qué hay que proteger?
• Cómo se hace?
• Qué variable hay que medir
• Sobre qué hay que actuar?
• Cuándo hay que hacerlo?
• Cuál debe ser el tiempo de respuesta?
• Bajo qué aplicación?

Para los sistemas ferroviarios, la norma UNE EN 50126 define las funciones de seguridad y complementariamente la EN 50128 define métodos herramientas y técnicas para el desarrollo del software y la EN 50129 define un proceso para la aprobación y aceptación de los sistemas electrónicos.

Una configuración simple de un sistema instrumentado de seguridad, relacionado con un proceso se muestra en la figura 37.

La función instrumentada de seguridad, supervisa determinados parámetros y adopta una acción ejecutiva para que el proceso resulte seguro aun en caso de aparición de fallas.

Una función de seguridad puede actuar bajo demanda o en modo continuo.

La función bajo demanda se caracteriza por:

• En general son independientes del proceso
• El fallo de la función de seguridad tiene como resultado la perdida de protección pero no es en si peligroso
• La frecuencia de demanda es baja, generalmente menos de una vez al año

El SIL asignado para estas funciones depende de unas bandas del valor de la probabilidad de falla en demanda (PFD)

Una función de modo continuo tiene como características:

• Por lo general proporcionan algunas funciones de control
• El fallo de una función de seguridad provoca una situación peligrosa
• La frecuencia de las demandas es alta, más de una vez al año o en forma continua.

Para este tipo de funciones, el cálculo del SIL se realiza mediante la valoración de la probabilidad de falla peligrosa por hora (PFH)

Como ejemplo de estos tipos podemos ejemplificar: a) los airbags de un vehículo proporcionan una valiosa función de seguridad e interesar conocer su probabilidad de fallo cuando se los demande la ocurrencia de un accidentes, lo que indica que se trata de una función en modo a demanda. b) Los frenos de un vehículo, la métrica significativa sería una tasa de fallo o una probabilidad de fallo por hora. Interesa ahora conocer la tasa de fallo de la función de seguridad, lo que es indicativo de que se trata de una función en modo continuo.

Parámetros de una SIF

Describiremos brevemente los parámetros de una SIF:

- Cobertura de diagnóstico (DC): tasa de fallas detectadas sobre tasa de fallas total

- Falla de causa común: Es la falla del resultado de uno o más eventos, causando fallas coincidentes de dos o más componentes separados conduciendo a la falla del sistema. Es una falla simple que es capaz de producir la falla completa de un sistema redundante. La falla de causa común se expresa a través de “β”, la cual indica el porcentaje o fracción del total de fallas que es debido a causa común. Desde el punto de vista práctico un sistema sujeto a falla de causa común se modela como un sistema compuesto por dos elementos trabajando en serie. El primero de estos elementos contribuyendo con un peso de “β” por ciento, como un sistema sencillo, ya que cualquier falla de causa común hace fallar al sistema completo, y el segundo contribuyendo con un peso de “1-β” por ciento en su esquema de redundancia.

- SFF (Safe Failure Fraction): Fracción de falla segura. Proporción de fallos seguros del número total de fallos. La fracción de todas las tasas de fallas de un equipo que resulta en una falla segura o no segura pero diagnosticada.

SFF = 1 - (λdu / λ )

- HFT (Hardware Failure Tolerance): Tolerancia de falla de hardware. Es el máximo número de fallas en un subsistema, resultante de fallas aleatorias de hardware, que pueden ocurrir sin llevar a la SIF a un estado de falla peligroso.

La IEC 61508 clasifica los elementos en tipo A o B.

Un subsistema es tipo A si se cumplen cada una de las siguientes condiciones:

• Los modos de falla de todos los componentes que lo constituyen están bien definidos.
• El comportamiento del subsistema bajo condiciones de falla puede ser completamente determinado.
• Para el subsistema existen suficientes datos de fallas confiables, extraídos de experiencia de campo.

Un sistema es tipo B si se cumplen cada una de las siguientes condiciones:

• El modo de falla de al menos uno de los componentes que lo constituyen no están bien definidos.
• El comportamiento del subsistema bajo condiciones de falla no puede ser completamente determinado
• Para el subsistema no existen suficientes datos de fallas confiables, extraídos de la experiencia en campo.

Especificaciones de integridad

Los requerimientos de nivel de integridad, nivel de confiabilidad de cada función de seguridad servirán para establecer una arquitectura aceptable del sistema para lograr el nivel de desempeño, seguridad e integridad requerida para que efectue las operaciones necesarias. Los requerimientos de integridad de seguridad deben incluir una definición de los siguientes parámetros:

• La tasa de demanda objetivo, SIL objetivo, para cada una de las funciones de seguridad.
• Una descripción de todas las funciones de seguridad para lograr el SIL objetivo.
• El factor de reducción de riesgos (RRF) para cada función
• Requerimientos de diagnóstico para lograr el SIL objetivo.
• Requerimientos de confiabilidad en caso de presentarse disparos en falso
• Las condiciones ambientales extremas probables a ocurrir durante todo el ciclo de vida.
• Los límites de inmunidad electromagnética requeridos.

Por no disponer de tablas para el sector ferroviario, tomaremos de la norma IEC 61511 las funciones instrumentadas de seguridad bajo demanda pueden obtener estos valores de tabla tales como la siguiente.

La probabilidad de falla bajo demanda de cada SIF debido a fallas de hardware depende de varios factores:

• La arquitectura de la función
• La tasa de fallas peligrosas, estimada, debido a fallas aleatorias de hardware que causarían una falla peligrosa y que no son detectados en los test
• La tasa de fallas, estimada, debido a fallas aleatorias de hardware que causarían una falla peligrosa y que no son detectados en los test
• La susceptibilidad del sistema a las fallas de causa común
• El factor de cobertura del diagnóstico de cualquier test automático de diagnóstico, los intervalos de test y la fiabilidad de ellos.
• Los intervalos de prueba de funcionalidad de seguridad
• El tiempo de reparación de los fallos detectados (MTTR)
• Posibles fallas de comunicación con el proceso
• Posibles fallas peligrosas por causas humanas
• Susceptibilidad a interferencias externas.

EJERCICIO

Con este ejercicio nos proponemos ejemplificar una metodología de 7 pasos (Fig. 42) para la cumplir con los requisitos de seguridad en el sistema “Monitor de Barreras”, siguiendo los lineamientos de las normas de seguridad en la industria ferroviaria donde se establece que se debe adoptar un enfoque sistemático para identificar peligros, evaluar riesgos, especificar los requisitos de seguridad globales del sistema e implementar la funciones de seguridad.

El grado de confianza de las funciones de seguridad se mide por el nivel de integridad de la seguridad alcanzado (SIL), la Integridad de la seguridad comprende dos partes: a) integridad ante fallos aleatorios y b) integridad ante fallos sistemáticos. Es necesario alcanzar los requisitos de integridad para ambos casos si se quiere alcanzar un nivel SIL adecuado.

PASO 1: Diseño conceptual del proceso. Definición de los limites espaciales, temporales, de uso, ambientales, otros.

La gestión de la seguridad se realiza desde la fase primera del ciclo de vida del sistema, se debe garantizar el cumplimiento de las normas de seguridad aplicables y de calidad ISO 9001.

La definición conceptual del proyecto, se realiza en la fase 1 del ciclo de ida del desarrollo e incluye aspectos tales como: Finalidad del proyecto, Restricciones y supuestos, Contexto del proyecto, Alcance del proyecto, Entorno del sistema, Descripción preliminar del sistema, Definición preliminar de hitos y plazos, Política y objetivos de seguridad.

PASO 2: Análisis, cuantificación y evaluación de los riesgos. Documentación.

En este paso se deben identificar los peligros y sus causas, las normas orientan sobre los métodos de análisis. Las tareas a llevar a cabo y documentar son: Evaluación de frecuencia y gravedad de cada peligro, Evaluación y aceptación del riesgo, Revisión de la Tolerabilidad de riesgo, Adopción de medidas para reducir los riesgos a un nivel tolerable, Revisión de la efectividad de las medidas de reducción de riesgos, Registros de Peligros.

El riesgo está en función de la gravedad del peligro y la probabilidad de ocurrencia del mismo.

Riesgo (R) =Consecuencia (c) * Frecuencia (f)

Consecuencia (c) => gravedad del daño

Frecuencia (f) => Frecuencia y tiempo de exposición al peligro (F)

=> Probabilidad de evitar un evento peligroso (P)

=> Probabilidad de que el evento peligroso ocurra sin la adición de un SIS (W)

Si consideramos el peligro de que el microprocesador recaliente en forma excesiva podremos definir la siguiente función de seguridad:

Para el análisis de riesgos utilizaremos una matriz de riesgo (Tabla 29) compuesta por varias tablas que nos permiten cuantificar estas variables

PASO 3: Crear estructuras intrínsecamente seguras para reducir los riesgos posibles de ser reducidos.

Conocidos los riegos, estos se intentaran eliminar o reducir en la fase de diseño del sistema. Mediante la supervisión de los trabajos, uso de arquitecturas y métodos aceptados por normas, etc. Si esto no fuese posible para todos los riesgos, se calcularan los niveles SIL requeridos para cada lazo de control.

PASO 4: Definir un sistema de control para eliminar el riesgo o reducirlo hasta un nivel aceptable. Calculo teórico del SIL objetivo (Método cualitativo o cuantitativo).

Si el riesgo no pudo ser minimizado a niveles aceptables y fuese posible crear un sistema de control, en este paso, mediante métodos cualitativos o cuantitativos se calcula el nivel SIL necesario para llevar el riesgo niveles aceptables.

Requerimientos funcionales y de seguridad:

• Estado seguro del proceso: La SIF logra colocar al proceso en un estado seguro mediante la ventilación forzada.
• Entradas: Sensores de temperatura

Rango de operación aceptable: -40 °C a + 105°C (Rango categoría J)

Punto de disparo = 70°C

• Salida: La SIF actúa sobre un forzador de aire.
• Selección del disparo: La SIF debe ser desenergizada para poner en marcha el forzador
• Parada manual: No requiere
• Perdida de la fuente de energía del SIS: La pérdida de la fuente de energía del SIS produce el encendido del forzador.
• Tiempo de respuesta: Máximo: 10 segundos detectado el nivel de disparo.
• Sistema de diagnóstico: Sensores de temperatura en circuitos integrados
• Mantenimiento y pruebas: El sistema será testeado al menos una vez cada dos años. El sistema mostrara la temperatura en un display y ese valor será corroborado por un técnico utilizando un sensor de temperatura infrarrojo.
• SIL requerido: (ver tablas siguientes)

PASO 5: Diseño y creación de las funciones de seguridad. Definición de las arquitecturas de las protecciones técnicas, para aquellos riesgos residuales. Verificación del sistema de seguridad funcional para garantizar que el sistema de seguridad cumple los requisitos SIL, definidos en el paso 4.

En esta etapa se desarrollan las SIF y verifica el nivel SIL logrado, si no se alcanza el nivel calculado en el paso 4, se deberá modificar la arquitectura o los componentes o finalmente, si no es posible crear una SIF adecuada se deberán redefinir los limites o volver al paso de análisis de riesgos.

Cada riego se aborda por separado y se crea un lazo de seguridad, se define su estructura.

El cálculo del SIL se realiza para cada una de las funciones de seguridad independientemente de las otras.

La probabilidad de falla en demanda (PFD) de cada una de las SIF, estará determinado por el PFD de todos sus componentes.

PFD_SIF#1 = PFD_S + PFD_L + PFD_A + PFD_{Causa_Comun}

Calculo de PFD para la entrada

Considerando que el sensor a utilizar tiene los siguientes parámetros:

Para el cálculo utilizaremos las funciones simplificadas para cara arquitectura.

La norma IEC 61508 versión 2.0 2010, ha desarrollado ecuaciones más exactas para describir sistemas que cuentan con autodiagnóstico

Calculo de PFD para la salida

Considerando que el actuador a utilizar tiene los parámetros de la Fig. 41:

Para el cálculo utilizaremos las funciones simplificadas para cara arquitectura.

Calculo de PFD para el controlador logico

Por la complejidad del cálculo, consideraremos que el controlador a utilizar tiene una probabilidad de falla en demanda

PFD_avg = 1,50. 10^-4

La probabilidad de falla en demanda de causa común:

PFDcausa_comun = (PFDa * PFDb * ..... * PFDn) + (𝛃 * PFDpeor)

Cálculos para varias arquitecturas de hardware y Verificación del SIL obtenido

Con el uso de una planilla de cálculo podemos realizar verificaciones del SIL para varias arquitecturas y así poder seleccionar una que cumpla con el SIL objetivo.

PASO 6: Validación del sistema de seguridad funcional para asegurarse de que el sistema de seguridad cumple con su cometido de reducir los riesgos.

El objetivo de validar es integrar el SIS y probar que cumple con todos los requisitos de seguridad, en términos de funciones instrumentadas de seguridad y nivel de integridad de la seguridad asociado.

PASO 7: Documentación del sistema de seguridad funcional.

Documentar el proceso de seguridad mediante la realización de un caso de seguridad específico y crear los manuales de seguridad para el usuario.